神马文学网分析:安全软件评测方法应向何处去?
来源:百度文库 编辑:神马文学网 时间:2024/07/07 16:25:21
分析:安全软件评测方法应向何处去?
2009-11-02 Cbsi中国·PChome.net 类型: 原创传统的安全软件评测方法
早在2008年,当趋势科技声言退出一项重量极的安全测试VB100时,就在业界引起了不小的轰动。当时趋势科技反恶意软件部门首席技术官Raimund Genes在接受采访中表示,“VB100的测试体系只是‘20世纪的测试标准’”,他认为“VB100的测试并不适应互联网发展的实际情况,而且基于数字签名的模式匹配和检测方法只是安全技术版图中的一小块,如果不将真正面向互联网时代的安全威胁的恶意软件行为分析技术纳入其中的话,那么VB100的测试体系就是不完整的”。正是基于这一理念,趋势科技宣布了退出VB100测试,而在此之前,趋势科技已先后数十次通过了该测试。
趋势科技退出VB100测试,或许可以认为是一项标志性的事件,Raimund Genes对VB100测试的看法,其实也说明了在安全软件的评测方法上目前普遍存在的一些问题。
安全软件评测方法的发展与病毒技术的发展、安全软件技术的发展之间的关系是分不开的。可以说,病毒技术的发展推动了安全软件技术的发展,安全软件技术的发展又促使病毒产生新的进化,而新的病毒技术和新的安全软件技术,则又呼唤新的安全软件评测方法来与之适应。
在早些年中,病毒还是相对比较孤立的,传播没有如今这样快,爆发数量也比较少。比如在2005年,互联网新病毒产生的速度,只有每小时不到50个。在这一时期,安全软件基本上是其于特征码检测技术的,它们将每一个病毒的特征码加入到病毒库中,从而对其进行查杀,事实上,从病毒产生,杀毒软件出现起,安全软件一直采用的就是这种查杀方法。
传统的检测率评测方法
威胁形势改变
但如今的网络威胁形势已经发生了很大的变化,这使得传统的检测率评测方法已力不从心。
如今每小时新增病毒2000个
首先是病毒的数量暴增。2006年底,“熊猫烧香”病毒的出现可以说是一个代表,这一病毒单从病毒技术上来讲,并没有多少创新,但在病毒传播技术方面,该病毒充分利用了互联网的传播能力,并且变种更新频频,一时间造成了极大的影响。随后的种种新病毒也都充分利用互联网进行传播,这使得新病毒的出现进入了一个大爆炸的时期。在2007年,互联网上每小时出现的新病毒已达到600个;而到了如今,每小时出现的新病毒数量已达到两千个。在这种情况下,对于大多数的检测率测试来说,在它们开始之前实际上就已经过时了。
另外,目前还有很多专门从事使恶意程序避免被安全软件检测到的数字犯罪人员,他们在发布病毒之前,往往会针对一些安全软件尤其是一些知名品牌进行“免杀”处理,以避开安全软件的检测。这使得很多在评测中表现不错的安全软件,实际中可能表现并不会那么好。
此外,目前还有许多流行的威胁并不利用恶意文件来达到目的,比如目前流行的利用仿冒网站以图骗取用户银行账户信息的网络钓鱼,对于这种威胁,传统的评测方法根本不能体现出安全软件对这种威胁防范的能力。
由于传统的安全软件评测方法是针对基于病毒特征码的杀毒技术而设计的,因而在以上种种新的威胁形势下,传统安全软件评测方法的过时实际上反映出的是基于病毒特征码的杀毒技术的过时。而其实这一点安全厂商们很早就已意识到了,当他们发现,无论他们如何增加病毒库更新的频率也不能跟上网络威胁发展的步伐时,他们已开始从另一种思路来思考如何应对新的威胁形势,于是云安全应运而生。云安全的两层防护体系
根据统计,目前有92%的威胁都是来自于互联网的,基于互联网的威胁只有基于互联网的安全防护技术才能应对。而云安全的本质,实际上就可以理解为安全软件的互联网化。它将安全厂商的众多服务器与无数用户终端连接在一起,构成一个云的网络,依靠这个庞大的网络,不仅使得对病毒样本进行实时采集、分析以及处理的速度得到巨大的提升,还可以在网络威胁的源头就对其进行封堵,在网络威胁到达用户用户终端之前就对其进行阻止。
双层防护:暴露层防护、感染层防护
尽管各安全厂商之间的云安全体系互有不同,但总体来说,都是力图为用户提供两层防护。第一层可以称之为暴露防护层,这一层可拦截用户对带毒来源的访问,在服务端就对网络威胁进行过滤,阻止用户访问那些有害的URL链接或者域名。而若仍有漏网之鱼如病毒、木马等恶意程序到达了用户端,这时就进入第二层防护,可称为感染防护层,这时就要依靠客户端的杀毒软件在对恶意程序其进行清除。具体到实际操作上,也就是说,云安全的体系下,除了传统的基于恶意程序的病毒特征库,还有有一个基于URL或者域名的恶意网址库,利用这两个库,就构成了云安全的两层防护体系。
云安全的出现,可以说是安全软件技术的一次革命,安全软件进行了一个新的时代。然而与之相应的是,安全软件评测方法至今仍未有太多变化。传统的安全软件评测方法实际上只能验证在云安全体系下客户端的感染防护层的防护能力,而且还不能完全反映出安全软件在这一层的防护能力来,比如它就无法验证安全软件在病毒特征库上的更新能力。新的安全软件技术迫切呼唤一种新的评测方法来对各种安全软件的防护能力进行检验。新的评测思路
新的安全软件评测思路
既然在目前的安全软件技术下,基本都采取两层的防护体系,那么,新的安全软件评测方法也应该要能反应出安全软件在这两层上的防护能力上来。由于传统的安全软件评测方法实际上是针对感染层防护而设计的,因而只需加入对暴露层防护能力的测试也就是拦截恶意URL的能力测试即可。具体来说,我们应收集大量的一组非重复的恶意软件URL,这些URL在测试当时都需保证仍然有效且能够存取。而被测试的安全软件产品则应分别安全在不同的计算机(实体机或者虚拟机)上。在测试过程中,每一部测试机都将同时尝试存取这些测试用的恶意URL,从而观测它是否会拦截这些URL,并根据结果给出一个最终暴露层防护能力分数来。再进行传统的感染层防护能力的测试,得出一个感染层防护能力分数,将这二者相加,即得出一个总体防护分数来。
当然,为了保护测试的准确,并验证安全厂商进行病毒库或者恶意网址库更新的能力,我们还应该保证这一测试应持续较长的时间,并在其间定期投入新的恶意URL或者病毒样本,以充分模拟真实的使用环境。
通过这一测试方法,我们可以更全面地考察安全软件的防护能力。不过,这其中仍有不少值得仔细考虑的地方。比如恶意URL库的选定,如何来获取这些URL,选择何种范围的恶意URL库才最能反应出真实应用中的情况,又如何来保证这些恶意URL的有效性?又如在得出最终评分时,感染层防护能力的分数和暴露层防护能力的分数,之间权重比该如何确定?
尽管仍存在种种疑问,但我们可以确信,这是安全软件评测方法的发展趋势。事实上,目前有一些安全软件评测机构,如NSS Labs, West Coast Labs, Cascadia Labs等,已经开始做出了尝试。
在2009年7月和8月期间,NSS Labs完成了产业界最接近真实世界的防毒/终端保护套装的测试。在该测试中,每个受测产品在测试开始之前都会先更新到最新版本,并且在整个测试过程中被允许访问互联网。NSS Labs使用最新的威胁,进行了为期17天的24小时不间断的测试,而在此期间,每8小时就会完成一轮59项独立测试,并且每一轮都会加入新的恶意程序和URL。
在NSS Labs的评测中,可以看到一个最大的特点就是,安全软件的评测不再是孤立的,NSS Labs努力模拟出一个最接近用户真实互联网应用环境的测试环境来进行测试。网络威胁在互联网化,安全软件也走向互联网化,而与之相应,安全软件评测方法也应走向互联网化。
不过,新的方法需要付出的代价就是,这一方法复杂得多,它会需要更多的人力物力,还有更多的测试周期。对于广大个人爱好者来说,要进行这种测试是非常有难度的。如何才能寻求出一种简单而又准确的测试方法,让广大个人用户都能亲自去对比一下自己喜爱的安全软件的防护能力,还是我们需要仔细考虑的问题。